著录项信息
| 专利名称 | 入侵检测方法及系统 |
| 申请号 | CN201310381615.9 | 申请日期 | 2013-08-28 |
| 法律状态 | 驳回 | 申报国家 | 中国 |
| 公开/公告日 | 2013-12-18 | 公开/公告号 | CN103457945A |
| 优先权 | 暂无 | 优先权号 | 暂无 |
| 主分类号 | H04L29/06 | IPC分类号 | H;0;4;L;2;9;/;0;6查看分类表>
|
| 申请人 | 中国科学院信息工程研究所 | 申请人地址 | 北京市海淀区闵庄路甲89号
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
| 权利人 | 中国科学院信息工程研究所 | 当前权利人 | 中国科学院信息工程研究所 |
| 发明人 | 云晓春;郝志宇;丁振全;张永铮;李伦;费海强 |
| 代理机构 | 北京轻创知识产权代理有限公司 | 代理人 | 杨立 |
摘要
本发明涉及一种入侵检测方法及系统。入侵检测方法用于检测虚拟计算环境中的虚拟机节点的安全威胁,包括:步骤一,为检测目标远程部署检测文件,以及为检测目标远程创建入侵检测线程,入侵检测线程至少包含一条安全检测策略;步骤二,执行步骤一创建的入侵检测线程,通过将数据包协议与入侵检测线程中的每一条安全检测策略的协议进行匹配的方式来检测检测目标中的安全威胁,以及根据检测结果进行响应,数据包协议为从检测目标的数据包中剥离出来的协议;步骤三,定期查询安全检测策略的更新信息,并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。本发明的入侵检测方法及系统提高了虚拟计算环境的安全威胁检测性能。
1.一种入侵检测方法,用于检测虚拟计算环境中的虚拟机节点的安全威胁,其特征在于,包括:
步骤一,为检测目标远程部署检测文件,以及为所述检测目标远程创建入侵检测线程,所述入侵检测线程至少包含一条安全检测策略;
步骤二,执行步骤一创建的入侵检测线程,通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测所述检测目标中的安全威胁,以及根据检测结果进行响应,所述数据包协议为从所述检测目标的数据包中剥离出来的协议;
步骤三,定期查询安全检测策略的更新信息,并根据该更新信息更新步骤二所执行的入侵检测线程中的安全检测策略。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述步骤一包括子步骤11:为所述检测目标远程创建虚拟机节点动态变化监控线程;则
所述入侵检测方法还包括
步骤四,执行所述虚拟机节点动态变化监控线程,获取虚拟机节点动态变化信息并上报;
所述步骤三包括子步骤31:根据步骤四上报的动态变化信息控制入侵检测线程的更新操作。
3.根据权利要求2所述的入侵检测方法,其特征在于,所述子步骤31包括:
在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略;
在动态变化信息为虚拟机节点迁移信息时,为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略;
在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时,释放该虚拟机的入侵检测资源,并关闭该虚拟机的入侵检测线程;
在动态变化信息为安全检测策略更新信息时,控制相应的入侵检测线程完成安全检测策略更新操作,使入侵检测线程利用更新后的安全检测策略进行检测。
4.根据权利要求1所述的入侵检测方法,其特征在于,所述步骤二包括:
步骤21,从虚拟机节点对应的后端网卡捕获数据包;
步骤22,从捕获的数据包中逐次剥离出数据包协议,并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配;
步骤23,在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时,判定此数据包为异常数据包,否则判定此数据包为正常数据包;
步骤24,根据预设的响应策略和步骤23的判定结果处理捕获的数据包。
5.根据权利要求1所述的入侵检测方法,其特征在于,所述步骤一包括:
读取虚拟计算环境的支撑服务器资源列表,提取服务器信息,所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息;
根据所述服务器信息,在服务器的对应目录下远程建立监控目录;
远程向所述监控目录分发检测文件;
远程控制所述监控目录中的检测文件执行,创建入侵检测线程。
6.一种入侵检测系统,用于检测虚拟计算环境中的虚拟机节点的安全威胁,其特征在于,包括:
部署模块,用于为检测目标远程部署检测文件,以及为所述检测目标远程创建入侵检测线程,所述入侵检测线程至少包含一条安全检测策略;
检测模块,用于执行部署模块创建的入侵检测线程,通过将数据包协议与所述入侵检测线程中的每一条安全检测策略的全部协议进行匹配的方式来检测安全威胁,以及根据检测结果进行响应,所述数据包协议为从所述检测目标的数据包中剥离出来的协议;
更新模块,用于定期查询安全检测策略的更新信息,并根据该更新信息更新检测模块所执行的入侵检测线程中的安全检测策略。
7.根据权利要求6所述的入侵检测系统,其特征在于,所述部署模块包括监控部署单元,用于为所述检测目标远程创建虚拟机节点动态变化监控线程;
则所述入侵检测系统还包括监控模块,用于执行监控部署单元创建的虚拟机节点动态变化监控线程,获取虚拟机节点动态变化信息,并上报给部署模块;
更新模块还包括控制单元,用于根据监控模块上报的动态变化信息控制入侵检测线程的更新操作。
8.根据权利要求7所述的入侵检测系统,其特征在于,所述控制单元包括:
启动控制子单元,用于在动态变化信息为虚拟机节点启动信息时,为启动的虚拟机节点创建入侵检测线程并控制该线程加载默认的安全检测策略;
迁移控制子单元,用于在动态变化信息为虚拟机节点迁移信息时,为迁移的虚拟机节点创建入侵检测线程并控制该线程加载该虚拟机原有的安全检测策略;
关闭控制子单元,用于在动态变化信息为虚拟机节点死亡、崩溃或关闭信息时,释放该虚拟机的入侵检测资源,并关闭该虚拟机的入侵检测线程;
更新控制子单元,用于在动态变化信息为安全检测策略更新信息时,控制相应的入侵检测线程完成安全检测策略更新操作,使入侵检测线程利用更新后的安全检测策略进行检测。
9.根据权利要求6所述的入侵检测系统,其特征在于,所述检测模块包括:
捕获单元,用于从虚拟机节点对应的后端网卡捕获数据包;
匹配单元,用于从捕获的数据包中逐次剥离出数据包协议,并将剥离出的数据包协议依次与入侵检测线程中安全检测策略对应的协议进行匹配;
判断单元,用于在捕获的数据包匹配了入侵检测线程中一条安全检测策略对应的全部协议时,判定此数据包为异常数据包,否则判定此数据包为正常数据包;
响应单元,用于根据预设的响应策略和判断单元的判定结果处理捕获的数据包。
10.根据权利要求6所述的入侵检测系统,其特征在于,所述部署模块包括:
读取单元,用于读取虚拟计算环境的支撑服务器资源列表,提取服务器信息,所述服务器信息包括服务器IP地址、服务器用户名以及服务器对应的密码信息;
目录建立单元,用于根据读取单元提取出来的服务器信息,在服务器的对应目录下远程建立监控目录;
分发单元,用于远程向所述监控目录分发检测文件;
创建单元,用于远程控制所述监控目录中的检测文件执行,创建入侵检测线程。
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2008-11-19
|
2008-06-21
| | |
2
| |
2013-02-13
|
2012-09-06
| | |
3
| |
2011-05-11
|
2011-01-13
| | |
4
| |
2009-04-15
|
2007-01-24
| | |
5
| |
2009-01-21
|
2008-08-15
| | |
6
| |
2011-09-14
|
2011-05-06
| | |
7
| |
2010-06-23
|
2009-12-29
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 1 | | 2015-05-11 | 2015-05-11 | | |
2 | | 2014-12-25 | 2014-12-25 | | |
3 | | 2014-12-25 | 2014-12-25 | | |
4 | | 2014-12-11 | 2014-12-11 | | |
5 | | 2015-08-12 | 2015-08-12 | | |
6 | | 2014-12-11 | 2014-12-11 | | |
7 | | 2015-08-12 | 2015-08-12 | | |
快申报:023-88392959
工作日:9:00-12:00/13:30-18:00
